El cumplimiento efectivo va más allá de educar a los trabajadores sobre las nuevas normativas y hacer un seguimiento del número de incidentes de incumplimiento. En esta guía de implementación, nos enfocamos en una visión holística del cumplimiento que involucra a las principales partes interesadas y sugiere una cuantificación específica de los esfuerzos y resultados del cumplimiento a través de 7 pasos.
Definición de las partes interesadas
Empecemos con la definición de las partes interesadas genéricas involucradas en el cumplimiento:
- Junta Directiva. Representa los intereses de las organizaciones.
- Oficina de Cumplimiento. Departamento especializado que garantiza el cumplimiento de la organización de conformidad con las leyes, reglamentos, políticas internas, etc. aplicables.
- Sistemas empresariales internos. Sistemas informáticos (TI) y otros sistemas empresariales que apoyan los esfuerzos de cumplimiento.
- Empleados que pueden afectar o verse afectados por las políticas de cumplimiento.
- Terceros. Socios y partes interesadas externas similares.
- Auditor Externo. Experto en la norma en cuestión.
- Regulador. Autoridad que establece la normativa.
En BSC Designer, vaya a Configuración > Estrategia > Partes interesadas para añadir las partes interesadas relevantes a la lista. Más tarde, esas partes interesadas pueden alinearse con objetivos y métricas específicos a través del campo Propietario.
Plantilla de cumplimiento y KPIs
Los usuarios de BSC Designer tienen acceso a la plantilla del cuadro de mando con los indicadores clave de rendimiento (KPIs) que se comentan en el artículo:
- Esta plantilla se puede personalizar para que se ajuste a los requisitos de la normativa específica.
- Los cuadros de mando creados para las distintas normativas pueden combinarse posteriormente en un cuadro de mando de cumplimiento global que incluya un índice de cumplimiento general.
1. Adaptar las estrategias de forma proactiva
Las autoridades reguladoras formulan nuevas normativas en respuesta a factores sociales, tecnológicos, políticos, etc. Las organizaciones pueden preparar proactivamente estrategias para posibles normativas realizando un análisis de los factores externos, similar al que llevan a cabo las autoridades reguladoras.
Utilice la plantilla de análisis PESTEL disponible en BSC Designer para:
- Formular posibles fuerzas impulsoras y
- Definir indicadores de señales tempranas.
Para cuantificar esta preparación proactiva podemos usar el indicador:
En la plantilla, esta métrica está configurada para actualizaciones anuales:
2. Identificar con antelación la nueva normativa aplicable
El papel de la oficina de cumplimiento es identificar pronto las nuevas normativas aplicables e iniciar la preparación dentro de la organización. Normalmente, los reguladores dan tiempo suficiente para el análisis y la preparación publicando inicialmente un borrador de la normativa, y hay un periodo de transición una vez que la normativa se publica oficialmente.
Para cuantificar la eficiencia de la oficina de cumplimiento, utilizamos:
En la plantilla, la métrica de cobertura de la normativa tiene un mayor peso en el índice, en comparación con otras métricas.
Las estimaciones de las métricas de tiempo podrían usarse como criterio para determinar si el trabajo sobre normativas específicas debe realizarse internamente o subcontratarse con una empresa de asesoramiento externa.
3. Capacitar a los empleados para que cumplan la nueva normativa
Una vez formuladas las políticas correspondientes, la organización tiene que capacitar a sus empleados para que cumplan la nueva normativa. Para realizar un seguimiento al proceso, usamos una métrica básica:
Para normativas más complejas, considere la posibilidad de emplear un cuadro de mando de capacitación dedicado para realizar un seguimiento del proceso.
4. Validar el cumplimiento de terceros
La mayoría de las normativas exigen examinar toda la cadena de valor y validar el cumplimiento de terceros. La organización puede no estar interesada en examinar los detalles; en su lugar, puede enfocarse en el seguimiento de la puntuación general de cumplimiento de los socios y el porcentaje de socios evaluados para el cumplimiento.
- «Mitigar el impacto de los cambios normativos en terceros que ya han pasado el control de cumplimiento mediante revisiones periódicas y revisiones de la puntuación de cumplimiento.»
5. Simular incidentes de incumplimiento
Para validar el éxito de la formación en materia de cumplimiento, la organización puede simular incidentes de incumplimiento y evaluar las reacciones apropiadas de los empleados responsables. Los resultados de dicha validación pueden cuantificarse como:
Cuantificar el impacto del incumplimiento
El impacto del incumplimiento se puede validar mediante:
Su dinámica a lo largo del tiempo indicará la eficacia de los esfuerzos de cumplimiento introducidos. Aunque todas estas métricas son de resultado por naturaleza, la oficina de cumplimiento puede utilizar los riesgos asociados a estas métricas para priorizar determinadas actividades y justificar los presupuestos de cumplimiento.
6. Sistemas de Auditoría por el Auditor Externo
En los casos relacionados con normativas críticas, en los que un posible incumplimiento podría acarrear importantes consecuencias económicas y afectar la reputación, el consejo de administración contrata a auditores independientes.
Métricas en las que debe enfocarse la atención en el contexto de un auditor externo:
Para acciones repetitivas como auditorías externas, se sugiere llevar a cabo un seguimiento de las métricas a lo largo del tiempo. Los usuarios de BSC Designer pueden establecer intervalos de actualización de las métricas para garantizar la coherencia de los datos.
Otro matiz relativo a este tipo de métrica es la dificultad para establecer un objetivo. Por ejemplo, un número reducido de hallazgos de auditoría podría considerarse como una atención insuficiente por parte del auditor, mientras que un nivel elevado de hallazgos podría indicar que la oficina de cumplimiento no llevó a cabo una auditoría interna eficaz. Para captar esta idea, se modificó la función de rendimiento del indicador.
Además, todos los hallazgos pueden categorizarse en función de su impacto, dando el mayor peso a los hallazgos más críticos. De este modo se evitará el uso incorrecto de la métrica al enfocarse en un gran número de hallazgos de escaso valor. Un ejemplo de dicha categorización es índice de riesgo ponderado en el cuadro de mando de ciberseguridad.
Algunas indicaciones de la efectividad de implementar los hallazgos del auditor pueden ser cuantificadas por:
Los usuarios de BSC Designer pueden actualizar los indicadores con los datos más recientes e incluir una nota sobre la actualización más reciente. Por ejemplo, pueden proporcionar detalles adicionales que expliquen por qué, en una determinada fase, quizás no sea posible cerrar algunos de los hallazgos de auditoría.
Tanto la tasa de cierre como el tiempo de respuesta son métricas de actuación para mejorar los sistemas de cumplimiento, enfocándose en hacer todo el proceso más ágil y menos complejo para las partes interesadas del usuario final.
Gestión de incidentes de incumplimiento
Los preparativos apropiados por parte de la oficina de cumplimiento interno y las auditorías externas no protegen a la organización contra posibles incumplimientos.
Métricas de seguimiento en este contexto:
La unidad de medida del tiempo de respuesta puede ser horas o días, dependiendo de la naturaleza del incidente.
Siguiendo la lógica de que la repetición de incidentes es un indicador de la eficacia de la oficina de cumplimiento, el indicador «Reaparición de incidentes» se alineó con el objetivo «Capacitar a los empleados para que cumplan la nueva normativa» mediante datos como el indicador de resultado.
7. Alineación con cuadros de mando de cumplimiento
Las métricas analizadas serán específicas para una determinada normativa. Para cada normativa, habrá su propio cuadro de mando de cumplimiento con los parámetros ajustados a esa normativa específica.
Para tener una imagen de alto nivel de los esfuerzos de GRC (Gobernanza, Riesgo y Cumplimiento), podemos alinear los cuadros de mando GRC para normativas específicas en un cuadro de mando GRC general.
- Plantillas de CMI. Regístrese con un plan gratuito de BSC Designer y tenga acceso inmediato a 31 plantillas de cuadro de mando, incluyendo el Plantilla de cumplimiento discutido en este artículo.
- Domine habilidades. Aprenda a desglosar objetivos ambiguos como "mejorar la calidad" y "aumentar la resiliencia" en estrategias específicas.
- Automatice. Aprenda qué es el software de Cuadro de Mando Integral y cómo puede facilitarle la vida al automatizar la ejecución de la estrategia, los KPIs y los mapas estratégicos.
Más ejemplos del Cuadro de Mando Integral
BSC Designer es el software para CMI, está ayudando a las empresas a formular mejor sus estrategias y hacer que el proceso de ejecución de estrategias sea más tangible con los KPIs.